AVŞAR YAPIM SANAYİ VE TİCARET ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI POLİTİKALARI
Doküman Tarihi: 16.08.2019

İÇİNDEKİLER
KİŞİSEL VERİLERİN KORUNMASI POLİTİKALARI …………………………………………………

  1. VERİ GİZLİLİĞİ
    TAAHHÜDÜ………………………………………………………………………………….2
  2. POLİTİKANIN AMACI ……………………………………………………………………………………………2
  3. POLİTİKANIN KAPSAMI ……………………………………………………………………………………….2
  4. TANIMLAR …………………………………………………………………………………………………………….2
  5. KİŞİSEL VERİ İŞLEMENİN İLKELERİ
    …………………………………………………………………….4
  6. KİŞİSEL VERİLERİN İŞLENMESİ……………………………………………………………………………5
  7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
    ………………………………………………7
  8. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE
    GETİRİLMESİ………………………………………………………………………………………………………….8
  9. KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER
    TARAFINDAN İŞLENMESİ …………………………………………………………………………………….8
  10. ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ VE VERİ SAHİBİNİN
    HAKLARI……..10
  11. VERİ YÖNETİMİ, GÜVENLİĞİ VE KİŞİSEL VERİLERİN KORUNMASI İÇİN
    ALINAN
    TEDBİRLER………………………………………………………………………………………………………….12
  12. EĞİTİM …………………………………………………………………………………………………………………13
  13. DENETİM ……………………………………………………………………………………………………………..13
  14. İHLALLER
    …………………………………………………………………………………………………………….14
  15. SORUMLULUKLAR………………………………………………………………………………………………14
  16. POLİTİKADA YAPILACAK
    DEĞİŞİKLİKLER……………………………………………………….14
  17. POLİTİKANIN YÜRÜRLÜK TARİHİ …………………………………………………………………..14

2

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

  1. VERİ GİZLİLİĞİ TAAHHÜDÜ
    Avşar Yapım Sanayi ve Ticaret ve Anonim Şirketi (‘Şirket’), bünyesinde bulunan Kişisel
    Veriler bakımından işbu Politikaya ve Politikaya bağlı olarak uygulanacak prosedürlere
    uygun davranmayı taahhüt eder.
  2. POLİTİKANIN AMACI
    İşbu politikanın amacı, Şirket aktivitelerine ilişkin 6698 sayılı Kişisel Verilerin
    Korunması Kanunu (‘KVKK’) kapsamında, kişisel verilerin korunmasına yönelik yöntem
    ve süreçlere ilişkin esasları belirlemektir.
  3. POLİTİKANIN KAPSAMI
    Şirketin temel faaliyet alanı, sinema işletmeciliği ve sinema sektörüne ait ürün ve hizmet
    sağlanmasıdır. İşbu Politika, Şirket’in faaliyetlerinin devamı amacıyla her tür işleme
    faaliyetini gerçekleştirdiği Kişisel Verilere yönelik tüm aktiviteleri kapsar ve söz konusu
    aktivitelere uygulanır.
    İşbu Politika, KVK Düzenlemelerinin gerektirmesi halinde yahut Şirketin Veri Sorumlusu
    Temsilcisi yahut yönetimin gerekli gördüğü hallerde, kanuni yükümlülükleri gözetmek
    koşuluyla zaman zaman değiştirilebilir.
  4. TANIMLAR
    İşbu Politikada geçen tanımlar aşağıdaki anlamlara gelmektedir;
    “Açık Rıza” Kişisel Veri Sahiplerinin verilerinin islenmesine dair bilgilendirilmeye
    dayalı olarak ve herhangi bir koşula bağlı olmaksızın, özgür iradeleriyle açıkladıkları
    rızayı ifade eder.

3
“Anonim Hale Getirme” Kişisel Verilerin, başka verilerle eşleştirilse dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesini ifade eder.
“Anonim Hale Getirilmiş Veri” Gerçek kişi ile hiçbir şekilde ilişkilendirilmesi mümkün
olmayan veriyi ifade eder.
“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
ifade eder.
“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü
işlemi ifade eder.
“Kurul” Kişisel Verileri Koruma Kurulunu ifade eder.
“Kurum” Kişisel Verileri Koruma Kurumunu ifade eder.
“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
“KVK Düzenlemeleri/Hükümleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile
Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici
otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları,
ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir
uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.
“KVK Prosedürleri” Şirketin, çalışanların ve Veri Sorumlusu Temsilcisinin işbu Politika
kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri ifade eder.
“Silme veya Silinme” Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilmesi işlemidir.
“Kişisel Veri Envanteri” Şirketin Kişisel Veri İşleme faaliyetlerine yönelik olarak
Kişisel Veri İşleme süreç ve yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi,
Kişisel Verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanteri ifade eder.

4
“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel
Verileri işleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Sahibi” Kişisel Verinin ait olduğu gerçek kişiyi ifade eder.
“Veri Sorumlusu” Kişisel Verileri İşleme amaçları ve işleme yollarını belirterek işleyen,
veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel
kişiyi ifade eder.
“Veri Sorumlusu Temsilcisi” Şirketin, Kurum ile olan ilişkilerini yürüten çalışanı ifade
eder.
“Yok Etme” Kişisel verilerin yok edilmesini, hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve kullanılamaz hale getirilmesini ifade eder.

  1. KİŞİSEL VERİ İŞLENMESİ İLKELERİ
    5.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi
    Kişisel Veriler, Şirket tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük
    esasına dayalı olarak işlenir. Ölçülülük esası ile kast edilen, şirket faaliyetleri için
    gerektiği kadar kişisel verinin, gerekli olan süre boyunca işlenmesidir.
    5.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması için Gerekli Önlemlerin
    Alınması
    Şirket, Kişisel Verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemleri
    alır ve Veri Sahibinin Kişisel Verilere yönelik değişiklik talep etmesi durumunda ilgili
    Kişisel Verileri günceller.
    5.3. Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda İşlenmesi
    Kişisel Verilerin İşlenmesinden önce Şirket tarafından Kişisel Verilerin hangi amaçla
    işleneceği belirlenir. Bu kapsamda, Veri Sahibi KVK Düzenlemeleri kapsamında
    aydınlatılır ve gereken hallerde Açık Rızaları alınır.
    5.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
    Şirket, Kişisel Verileri yalnızca KVK Düzenlemeleri kapsamında açık rıza gerekmeyen
    hallerde ve/veya açık rıza alınması gerekli olan hallerde Veri Sahibinden alınan Açık
    Rıza kapsamındaki amaç doğrultusunda ve ölçülülük esasına uygun olarak işler.
    5.5. Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında Silinmesi

5
5.5.1.  Şirket, Kişisel Verileri işlenme amacına uygun olarak şirket aktiviteleri için
gerektiği kadar muhafaza eder. Şirketin, KVK Düzenlemelerinde öngörülen veya
Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel
Verileri muhafaza etmek istemesi halinde, Şirket KVK Düzenlemelerinde
belirtilen yükümlülüklere uygun davranır.
5.5.2.  Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel
Veriler Silinir, Yok Edilir veya Anonim Hale Getirilir. İşbu halde, Şirketin Kişisel
Verileri aktardığı üçüncü kişilerin de Kişisel Verileri Silmesi, Yok Etmesi yahut
Anonim Hale Getirmesi sağlanır.
5.5.3.  Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri
Sorumlusu Temsilcisi sorumludur. Bu kapsamda gerekli prosedür Veri
Sorumlusu Temsilcisi tarafından oluşturulur.

  1. KİŞİSEL VERİLERİN İŞLENMESİ
    Şirket faaliyetleri kapsamında başta istihdam ve sinema sektörüne ilişkin ürün ve
    hizmet sunulması olacak şekilde aşağıda sayılan amaçlar dahil ancak bunlarla sınırlı
    olmayacak şekilde kişisel veriler işlenebilmektedir;
     Faaliyetlerin yürütülmesi,
     Sözleşme kapsamında ve hizmet standartları çerçevesinde hizmet sağlanması ve
    sözleşme gerekliliklerinin yerine getirilmesi,
     İzleyicilerin tercih ve ihtiyaçlarının tespit edilmesi, verilecek hizmetlerin ve
    oluşturulacak yapımların bu kapsamda şekillendirilmesi ve güncellenmesi,
     Mevzuatın gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin
    yerine getirilmesi
     Pazar araştırmaları ve istatistiksel çalışmalar yapılması,
     Anket, yarışma, promosyon ve sponsorluklar alınması,
     İş başvurularının değerlendirilmesi ve istihdam sağlanması. Çalışan Aday’ı olarak
    yapacağınız başvurular sürecinde herhangi bir yöntemle paylaşılan özgeçmiş,
    diploma v.b. sair evrakta yer alan kişisel veriler, işbu Politika kapsamında, iş
    başvurusu değerlendirmesi amacıyla işlenebilmekte, saklanabilmekte ve
    aktarılabilmektedir. İstihdam sağlanması halinde çalışanların kişisel verileri,
    4857 sayılı İş Kanunu ve sair mevzuat yükümlülükleri uyarınca işlenmekte,
    saklanmakta ve aktarılmaktadır,
     Sinema salonlarının yönetimi.
     Şirket ile iş ilişkisinde bulanan kişiler ile irtibat sağlanması,
     Pazarlama,
     Reklam alınması ve verilmesi,

6

 Yasal ve finansal raporlama,
 Faturalandırma.
Şirket, sinema salonlarında yapılan bilet satışları esnasında, müşterilere ilişkin herhangi
bir kişisel veri talep etmemekte, toplamamakta, işlememekte ve depolamamaktadır.
Şirket, online bilet satışı için kendi sistemine sahip değildir ve aracı kurumlarla
çalışmaktadır. Şirket, güncel olarak www.biletinial.com üçüncü kişi kurum ile çalışmakta
olup, kurumun topladığı hiçbir kişisel veriye erişim sağlamamaktadır, hiçbir kişisel
veriyi toplamamakta, işlememekte ve depolamamakta olup, üçüncü kişi kurumun
faaliyetlerinden sorumlu değildir. Müşterilerin söz konusu aracı kurum ile
paylaşacakları kişisel veriler, aracı kurumun kişisel veri politikalarına tâbidir.
Şirket’in sinema salonlarında ses kaydı olmaksızın sadece görüntü kaydı alan kameralar
mevcuttur. Sinema salonlarını ziyaret eden izleyicilerin görüntüleri, kamera kaydı altına
alınabilmektedir. Söz konusu kayıtlar, 30 gün boyunca depolanmakta ve bu süre
sonunda yok edilmektedir.
Kişisel Veriler Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında
işlenebilir.
6.1. Açık Rıza
KVK Düzenlemeleri kapsamında Kişisel Verinin işlenmesi için açık rıza alınmasının
gerekli olduğu hallerde;
6.1.1.  Kişisel Veriler, Veri Sahiplerine Aydınlatma Yükümlülüğünün yerine getirilmesi
çerçevesinde yapılacak bilgilendirme sonrası ve Veri Sahiplerinin Açık Rıza vermesi
halinde işlenir.
6.1.2.  Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri
Sahiplerine hakları bildirilir.
6.1.3.  Veri Sahiplerinin Açık Rızası, KVK Düzenlemelerine uygun yöntemlerle alınır.
Açık Rızalar ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında
gereken süre ile muhafaza edilir.
6.1.4. Veri Sorumlusu Temsilcisi tüm Kişisel Veri İşleme süreçleri bakımından
Aydınlatma Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde Açık Rızanın
alınmasını ve muhafazasını sağlar. Kişisel Veri İşleyen tüm departman çalışanları Veri
Sorumlusu Temsilcisinin talimatlarına, işbu Politika’ya uymakla yükümlüdür.
6.2. Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi

7
6.2.1 KVK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin
İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2 ve Madde 6.3 dahil ancak
bunlarla sınırlı olmayacak şekilde kanunlarda sayılan hallerde), Şirket Veri Sahibinin
Açık Rızasını almaksızın Kişisel Verileri işleyebilir. Kişisel Verilerin bu şekilde işlenmesi
durumunda Şirket KVK Düzenlemelerinin çizdiği sınırlar çerçevesinde ve Aydınlatma
Yükümlülüğüne uyarak Kişisel Verileri İşler. Bu kapsamda:
6.2.1.1. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan Veri Öznesinin ve/veya Veri Öznesi dışındaki bir
kişinin hayatının veya beden bütünlüğünün korunması için Kişisel Veriler Şirket
tarafından Açık Rıza olmaksızın işlenebilir.
6.2.1.2. Bir sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan
doğruya ilgili olması şartları sağlanıyorsa, sözleşmenin taraflarına ait Kişisel Veriler Veri
Sahiplerinin Açık Rızaları olmadan Şirket tarafından işlenebilir. Bu anlamda Şirket’in
taraf olduğu hizmet sözleşmeleri, iş sözleşmeleri vb. gibi faaliyetlerinin devamı için
gerekli tüm sözleşmeler kapsamında topladığı kişisel veriler, açık rıza olmaksızın işbu
Politika çerçevesinde işlenmekte, saklanmakta, silinmekte ve imha edilmektedir.
6.2.1.3. Kişisel Verilerin İşlenmesi Şirketin hukuki yükümlülüğünü yerine getirmesi için
zorunluysa, Kişisel Veriler Veri Sahiplerinin Açık Rızaları olmadan Şirket tarafından
işlenebilir.
6.2.1.4. Veri Sahibi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın
Şirket tarafından işlenebilir.
6.2.1.5. Kişisel Verilerin Açık Rıza alınmadan işlenmesi bir hakkın tesisi, kullanılması
veya korunması için tek mümkün yol ise Kişisel Veriler Açık Rıza alınmaksızın Veri
Sorumlusu Temsilcisinin bilgisi dâhilinde Şirket tarafından işlenebilir.
6.2.1.6. Veri Sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,
Şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması halinde Kişisel Veriler
Şirket tarafından Açık Rıza olmaksızın işlenebilir.

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
    7.1.  Özel Nitelikli Kişisel Veriler yalnızca Veri Sahibinin Açık Rızasının bulunması yahut
    cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından
    kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir.

8
7.2. Şirket, taraf olduğu veya kendisine aktarılan iş sözleşmeleri dolayısıyla kanuni
gereklilik olarak alınması öngörülen özel nitelikli kişisel veriler haricinde, özel nitelikli
kişisel veri toplamamakta, saklamamakta ve herhangi bir şekilde işlememektedir.
7.3.  Sağlık ve cinsel hayata ilişkin Kişisel Veriler ancak kamu sağlığının korunması,
koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla Açık Rıza almaksızın
işlenebilir. Dolayısıyla KVK Düzenlemelerinde aksi öngörülene dek kişisel sağlık verileri
ve cinsel hayat verileri yalnızca Açık Rıza kapsamında yahut sır saklama yükümlülüğü
altında olan Şirket hekimi tarafından işlenebilir.
7.4.  Özel Nitelikli Kişisel Veriler İşlenirken, Kurul tarafından belirlenen önlemler alınır.
7.5.  Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan
tarafından Veri Sorumlusu Temsilcisi bilgilendirilir.
7.6.  Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili
departman tarafından Veri Sorumlusu Temsilcisinden görüş alınır.

  1. KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE
    GETİRİLMESİ
    8.1.  Kişisel Verinin İşlenmesine yönelik meşru amaç ortadan kalktığında, ilgili Kişisel
    Veriler Silinir, Yok Edilir yahut Anonim Hale Getirilir. Kişisel Verilerin Silinmesi, Yok
    Edilmesi yahut Anonim Hale Getirilmesi gereken durumlar, Veri Sorumlusu Temsilcisi
    tarafından takip edilir.
    8.2. Şirket’e herhangi bir yolla iletilen özgeçmişler, bir dönüş olmaması halinde en geç
    bir yıl içerisinde silinmektedir.
    8.3. Şirket’e bilgi@avsarsinema.com.tr e posta adresi aracılığıyla paylaşılan kişisel
    veriler, en geç bir yıl içerisinde silinmektedir.
    8.4. Şirket’in taraf olduğu iş sözleşmeleri dolayısıyla edindiği kişisel veriler, iş
    sözleşmesinden doğan saklama yükümlülüğünün sona ermesiyle yok edilmektedir.
    8.5. Şirket’in sözleşme hak/yükümlülüklerinin ifası amacıyla tuttuğu kişisel veriler,
    hak kaybının önüne geçmek amacyla ilgili sözleşme süresine göre belirlenen sürelerce
    saklanmakta ve söz konusu sürelerin sonunda silinmektedir.
    8.6.  Şirket Kişisel Verileri yalnızca gelecekte kullanma ihtimalini gözeterek saklamaz.
    Yukarıdaki maddeler, şirketin toplamadığı ancak şirkete benzer amaçla aktarılan kişisel
    veriler için de geçerlidir.

9

  1. KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER
    TARAFINDAN İŞLENMESİ
    Şirket, üçüncü bir gerçek ya da tüzel kişiye (“Yüklenici”) KVK Düzenlemelerine uygun
    şekilde Kişisel Veri aktarabilir. Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin
    de işbu Politika’ya uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere
    gerekli koruyucu düzenlemeler eklenir. Her türlü Kişisel Veri aktarımı yapılan üçüncü
    kişilerle akdedilen sözleşmelere eklenecek madde ise Veri Sorumlusu Temsilcisinden
    temin edilir. Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu Politika’da yer
    alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Temsilcisi tarafından iletilen
    maddede Kişisel Verilerin aktarıldığı üçüncü kişinin değişiklik talep etmesi halinde
    durum derhal çalışan tarafından Veri Sorumlusu Temsilcisine bildirir.
    Şirket, faaliyetleri kapsamında facebook, instagram, twitter, youtube, Google,
    windowslive, Outlook, hotmail benzeri sosyal medya ve elektronik posta hesapları
    açabilmekte ve işbu hesapları söz konusu sitelerin kullanım sözleşmesi çerçevesinde
    kullanmaktadır. Şirket, işbu sosyal medya hesapları üzerinden hiçbir kişisel veriyi
    depolamamakta, saklamamakta ve işlememektedir, kullanıcıların kişisel verileri,
    Şirket’in teması ve dahli dışında, ilgili sosyal medya sitesinin kullanım sözleşmesi ve
    politikaları kapsamında toplanmakta, depolanmakta ve işlenmektedir.
    Kişisel veriler aşağıda sayılanlar dahil ancak bunlarla sınırlı olmayacak şekilde;
     Tedarikçilere,
     İş ortakları ve iş bağlantılarına,
     Sinema salonlarına ve sinema işletmelerine, burada çalışan yetkili kişilere
     Hukuken yetkili kamu kurum ve kuruluşlarına,
     Hukuken yetkili özel hukuk kişilerine,
     Hissedarlara, işbu Politikada açıklanan ilke ve kurallara göre aktarılabilir.
    9.1.  Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarım
    9.1.1.  Şirket, sinema işletmeciliği, sinema sektörüne ait ürün, hizmet sağlanması ve
    sinemacılık dahil ancak bunlarla sınırlı olmayacak şekilde tüm faaliyetlerinin
    yürütülmesi/devamı için gerekli amaçlarla kişisel verileri işbu Politika ve mevzuat
    hükümleri çerçevesinde aktarabilecektir.
    9.1.2. Kişisel Veriler, KVK Hükümlerinin belirttiği hallerde Açık Rıza olmaksızın, Açık
    Rızanın arandığı hallerde Veri Sahibinin Açık Rızası alınmak şartı ile Türkiye’de bulunan
    üçüncü kişilere Şirket tarafından, faaliyetlerinin devamı veya yükümlülüklerinin yerine
    getirilmesi amacıyla aktarılabilir.

10
9.1.3.  Şirket, Kişisel Verilerin Türkiye’de bulunan üçüncü kişilere aktarımının KVK
Düzenlemelerine uygun olmasını sağlamakla sorumludur.
9.2.  Yurt Dışında Bulunan Üçüncü Kişilere Kişisel Veri Aktarım
9.2.1. Şirket, sahibi olduğu dizi/film vb. eserlerin yurtdışına pazarlanması veya yurt dışı
menşeili filmlerin Türkiye’de dağıtımı ve/veya sinemalarında gösterimi dolayısıyla
kişisel verileri işbu Politika ve mevzuat hükümleri çerçevesinde yurtdışına
aktarabilecektir.
9.2.2.  Kişisel Veriler, KVK Hükümlerinin belirttiği hallerde Açık Rıza olmaksızın, Açık
Rızanın arandığı hallerde Veri Sahibinin Açık Rızası alınmak şartı ile yurt dışında
bulunan üçüncü kişilere Şirket tarafından aktarılabilir.
9.2.3.  Kişisel Verilerin KVK Düzenlemelerine uygun olarak Açık Rıza alınmaksızın
aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan
birinin varlığı gerekir:
9.2.3.1  Kişisel Verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli
korumanın bulunduğu ülkeler statüsünde olması (liste için lütfen Kurul’un güncel
listesini takip edin),
9.2.3.2  Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurul’un güvenli ülkeler
listesinde yer almaması halinde Şirketin ve ilgili ülkedeki Veri Sorumlularının
yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin
alması.
9.2.4. Şirket Kişisel Verilerin yurt dışında üçüncü kişilere aktarımının KVK
Düzenlemelerine uygun olmasını sağlamaktan sorumludur.
9.2.5. Şirket, elektronik haberleşme amacıyla Google, Hotmail, Outlook gibi hizmet
sağlayıcılardan hizmet alabilmektedir. Bu kapsamda şirketin yapacağı elektronik
haberleşmelerin içerebileceği kişisel veriler, hizmet sağlayıcıların sunucularında
depolanmakta olup, söz konusu şirketlerin veri koruma politikaları kapsamında
saklanmakta, aktarılmakta ve işlenmektedir.

  1. ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ VE VERİ SAHİBİNİN HAKLARI
    10.1.  Şirket, KVKK’nın 10. Maddesine uygun olarak, Kişisel Verilerin İşlenmesine ilişkin
    Veri Sahiplerini aydınlatır. Bu kapsamda Şirket, Kişisel Verilerin elde edilmesi sırasında
    hazırladığı Aydınlatma Metni ile Aydınlatma Yükümlülüğünü yerine getirir. Aydınlatma
    Yükümlülüğü kapsamında Veri Öznelerine yapılacak olan bildirim sırasıyla şu unsurları
    içermektedir:

11

 Veri Sorumlusunun ve varsa temsilcisinin kimliği,
 Kişisel Verilerin hangi amaçla işleneceği,
 İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
 Kişisel Veri toplamanın yöntemi ve hukuki sebebi,

İlgili kişi, Başvuru Formu’nu doldurup Şirket’in Aydınlatma Metninde belirlenen
kvkk@avsarsinema.com.tr adresine ileterek aşağıdaki konularda bilgi alabilir;

 Kişisel verisinin işlenip işlenmediğini öğrenme,
 Kişisel verisi işlenmişse buna ilişkin bilgi talep etme,
 Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
 Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri
bilme,
 Kişisel verileri eksik veya yanlış işlenmişse bunların düzeltilmesini talep
etme
 Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması
halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
 Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel
verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
 İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz
edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme,
 Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması
halinde zararın giderilmesini talep etme

10.2.  Şirket, Veri Sahibinin KVK Hükümleri uyarınca işlenen kişisel verisine dair bilgi
talep etmesi halinde, Veri Sahibinin kimliğini doğruladıktan sonra en geç 30 (otuz) gün
içerisinde gerekli bilgilendirmeyi yapar. Aşağıda sayılan gerekçeler dahil ancak bunlarla
sınırlı olmayacak şekilde Şirket’in başvuruyu reddetme haklı saklıdır;
 Bilgi talep eden kişinin, ilgili veri sahibi olduğuna dair kimliğinin
doğrulanamaması,
 Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle
araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
 Kişisel verilerin özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek
ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
 Kişisel Veri Sahibi tarafından alenileştiren kişisel verilerin işlenmesi,
 Başvurunun haklı bir nedene dayanmaması,
 Başvurunun ilgili mevzuata aykırı bir istem içermesi,
 Başvuru usulüne uyulmaması, gibi durumlarda kabul edilmeme gerekçesi
açıklanarak reddedilir.

12
10.3.  Başvurunun reddedilmesi, başvuruya verilen cevabın yetersiz bulunması veya
süresinde cevap verilmemesi hallerinde; başvuru sahibinin cevabı öğrendiği tarihten
itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün
içerisinde KVK Kurulu’na şikayette bulunma hakkı bulunmaktadır.
10.4. Kişisel Verilerin İşlenmesinden önce gerekli Aydınlatma Yükümlülüğünün yerine
getirilmesini, ilgili süreci takip eden çalışan ve Veri Sorumlusu Temsilcisi yürütür.
10.5.  Veri İşleyenin Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin
yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri
İşlemeye başlanmadan önce üçüncü kişi tarafından taahhüt edilmelidir. Üçüncü kişilerin
Şirkete Kişisel Veri aktardığı durumlarda sözleşmelere eklenecek madde Veri Sorumlusu
Temsilcisinden temin edilir. Her bir çalışan Şirkete üçüncü bir kişi tarafından Kişisel
Veri aktarımı yapılan durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür.
Veri Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel Verileri aktaran üçüncü
kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu
Temsilcisine bildirir.

  1. VERİ YÖNETİMİ, GÜVENLİĞİ VE KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN
    TEDBİRLER
    11.1. Şirket, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu
    Politikanın uygulanması için gerekli KVK Prosedürlerinin uygulanmasını sağlamak ve
    denetlemek ve bunların işleyişine yönelik önerilerde bulunmak üzere Veri Sorumlusu
    Temsilcisi atar.
    Şirket, kişisel veri güvenliğini sağlamak adına KVK Kurumu’nun konu üzerine ilgili
    rehberi kapsamında idari ve teknik tedbirler almaktadır.
    11.1.1. İdari Tedbirler
     Şirket, tüm veri işleme sürecini kapsayan Politikalar ve prosedürler
    oluşturmakta, mevcut risk ve tehditlerin belirlenmesi için periyodik
    çalışmalar yürütmekte ve veri işleme sürecinde şeffaflık sağlamaktadır.
     Şirket çalışanları, Kişisel Verilerin korunmasına ve hukuka uygun olarak
    işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir.
     İşlenen ve depolanan kişisel verileri mümkün olduğunca azaltmakta ve
    mümkün olduğu takdirde verileri anonimleştirerek kullanmaktadır.
     Şirket içerisindeki iş tanımı veya Şirket ile iş ilişkisi gereğince kişisel
    verileri işleyen gerçek ve tüzel kişilerle ilişkilerini yönetmektedir. Bu
    kapsamda, Şirket çalışanları, Kişisel Verilere üzerinde yalnızca kendilerine
    tanımlanan yetki dâhilinde ve ilgili KVK Prosedürüne uygun olarak
    erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim

13
ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir.
Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis
edilen cihazlarının güvenliğinden sorumludur. Her Şirket çalışanı veya
Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki ve
elektronik dosyaların/verilerin güvenliğinden sorumludur. Şirket
içerisindeki bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu
departman, işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği
hakkında bilgilendirilir ve ilgili departman Veri Sorumlusu Temsilcisi
talimatlarına uygun hareket ederler. Özel Nitelikli Kişisel Verilere erişim
yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Veri
Sorumlusu Temsilcisi tarafından yapılır. KVK Düzenlemeleri kapsamında
Kişisel Verilerin güvenliği için talep edilen veya ek olarak talep edilecek
olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik
önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile
yükümlüdür. Kişisel Verilerin işbu Politika ve KVK Prosedürlerine uygun
şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar kusurları
oranında müteselsilen sorumludur. Şirket çalışanları, Kişisel Verilerin
güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona
ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket
ilgili çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
11.1.2. Teknik Tedbirler
 Şirket, bünyesinde işlediği, depoladığı tüm kişisel verilerin siber
güvenliğini sağlamaktadır. Kişisel Veri İşleme faaliyetlerine yönelik teknik
konularda bilgili, bilgi işlem personeli istihdam edilmektedir.
 Şirket, bünyesinde işlediği, depoladığı tüm kişisel verilerin siber
güvenliğini takip etmekte ve periyodik aralıklarla bakım ve denetim
yapmaktadır. Şirket tarafından Kişisel Veri İşleme faaliyetleri teknolojik
imkanlar ve uygulama maliyetine göre teknik sistemlerle
denetlenmektedir.
 Şirket, bünyesinde işlediği, depoladığı tüm kişisel verilere ilişkin bir bulut
depolama sistemi kullanmamaktadır.
 Şirkette Kişisel Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle
korunmaktadır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve
masaüstünde saklanmaz. Kişisel Verilerin yer aldığı dosya ve klasörler vb.
belgeler masaüstüne veya ortak klasöre taşınmaz, Veri Sorumlusu
Temsilcisinin veya Bilgi Teknolojileri Yetkilisinin önceden yazılı onayı
alınmadan Şirket bilgisayarlarındaki bilgiler USB vb. başka bir aygıta
aktarılamaz, Şirket dışına çıkartılamaz.
 Şirket, bilgi teknolojileri sistemleri tedarik etmekte, bu hizmeti veren
firmalardan geliştirme ve bakım almaktadır. Şirkette Kişisel Verilerin

14
güvenli ortamlarda saklanması için teknolojik gelişmelere uygun olarak
virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve
donanımlar kurulmaktadır.
 Şirkette Kişisel Verilerin kaybolmasını yahut zarar görmesini engellemek
üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik
önlemleri alınmaktadır.

  1. EĞİTİM
    Şirket, Kişisel Verilerin korunması konusunda çalışanlarına Politika ile KVKK
    Düzenlemeleri kapsamında gerekli eğitimleri verir ve bu eğitimlere dair kayıtları tutar.
  2. DENETİM
    Şirket, işbu Politika ve KVK Düzenlemelerine Şirketin tüm çalışanları, departmanları ve
    yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde
    bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda gerekli
    rutin denetimleri yapar. Veri Sorumlusu Temsilcisi bu denetimlere dair KVK Prosedürü
    oluşturur ve anılan prosedürün uygulanmasını sağlar.
  3. İHLALLER
    14.1 Şirketin her bir çalışanı, KVK Düzenlemelerinde ve işbu Politika kapsamında
    belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Veri
    Sorumlusu Temsilcisine raporlar. Bu kapsamda ilgili ihlale yönelik Veri Sorumlusu
    Temsilcisi, işbu Politika ve KVK Prosedürlerine uygun şekilde eylem planı oluşturur.
    14.2.  Yapılan bilgilendirmeler sonucunda Veri Sorumlusu Temsilcisi, KVK
    Düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki mevzuat hükümlerini
    dikkate alarak ihlale ilişkin Veri Sahibini veya Kurum’a yapılacak bildirimi hazırlar. Veri
    Sorumlusu Temsilcisi Kurum ile yapılan yazışma ve iletişimi yürütür.
  4. SÜREÇ YÖNETİMİ
    Şirket içerisinde Kişisel Verilerin Korunmasına ilişkin süreç yönetimi çalışan,
    departman, Veri Sorumlusu Temsilcisi tarafından sağlanır. Bu kapsamda Politika’nın
    uygulanmasını sağlayacak ve Kişisel Veri Korunması sürecini yönetecek Veri
    Sorumlusun Temsilcisi Şirket yönetimi kararı ile atanır ve bu kapsamda değişiklikler de
    yine anılan yolla yapılır.
  5. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
    Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen
    Politika metnini e-posta yolu ile Veri Sahipleri ile paylaşır ve/veya işyerinde

15
görünebilecek şekilde ve/veya ileride kurulabilecek bir internet sitesi üzerinden erişime
sunar.
İşbu Politika 16.08.2019 tarihinde AVŞAR YAPIM SANAYİ VE TİCARET ANONİM
ŞİRKETİ tarafından onaylanarak yürürlüğe girmiştir.